Azure AD Connect (Entra Connect) — Senkronizasyon Gecikmeleri ve Monitoring

Özet

Azure AD Connect (yeniden adlandırılan: Entra Connect) on-prem AD ile Azure AD arasında kullanıcı, grup, device senkronizasyonu yapıyor. Varsayılan sync döngüsü 30 dakika. Ama kurumsal ortamlarda periyodik olarak sync saatler / günler gecikiyor — fark edilmiyorsa:

• Yeni kullanıcı işe başlayınca Office 365 lisansı atanmıyor
• Şifre değişikliği tüm sistemlere yayılmıyor
• AD’den disable edilen hesap Azure AD’de hâlâ aktif (güvenlik açığı)
• Intune policy updates gecikmiş
• Teams / SharePoint permissions yanlış gidiyor

Semptom

1. Sync Monitoring Dashboard’da:

Azure Portal > Microsoft Entra ID > Entra Connect > 
Last sync: 2 hours ago (uyarı kırmızı)

2. Sync Service Manager (on-prem):

Connectors > "contoso.onmicrosoft.com - AAD"
Last Run Profile: Delta Synchronization
Last Run Status: completed-stopped-error

3. Event Log (on-prem):

Event ID 6803 (Directory Synchronization)
The sync engine has encountered an error.
Error: stopped-extension-dll-exception

Sık Karşılaşılan Sebepler

Sebep 1: Sync Account Şifre Expire

Azure AD Connect kurulumunda otomatik oluşan MSOL_ hesabı (on-prem AD) periyodik olarak şifre değişimi ister. Eğer o hesap Password Never Expires ayarı yapılmamışsa 90 gün sonra şifresi expire oluyor.

Tespit:

# On-prem AD'de
Get-ADUser MSOL_* -Properties PasswordExpired | 
    Select SamAccountName, PasswordExpired

Çözüm:

# Şifreyi reset + never expire
$msolUser = Get-ADUser MSOL_xxxx
Set-ADUser $msolUser -PasswordNeverExpires $true
Set-ADAccountPassword $msolUser -Reset -NewPassword (ConvertTo-SecureString "StrongRandomPass" -AsPlainText -Force)

# Sonra Azure AD Connect Wizard'dan credential güncelle

Sebep 2: Staging Mode’da Kalmış

Bazı ortamlarda test için Staging mode aktifleştirilir, sonra kapatılması unutulur. Staging mode’da sync yapılır ama Azure AD’ye push EDİLMEZ.

Tespit:

# Azure AD Connect sunucusunda
Get-ADSyncScheduler | Select StagingModeEnabled

True ise staging mode aktif — değişiklikler Azure’a gitmiyor.

Çözüm: Azure AD Connect Wizard > Configure > Staging Mode → Disable.

Sebep 3: Sync Rule Bozuk / Yanlış

Özel attribute flow yaparken yanlış bir sync rule eklenince tüm sync çöker.

Tespit:

Synchronization Rules Editor (on-prem aracı)

Enable olanları gözden geçir. 2023 sonrası modified olanlar özellikle.

Çözüm: Bozuk rule’ı disable et, sync tetikle, doğru şekilde yeniden oluştur.

Sebep 4: Password Hash Sync Crash

PHS (Password Hash Sync) service crash olabiliyor, özellikle büyük directory’lerde (10,000+ user):

Event ID 611: "Failed to send hash for user X"

Çözüm:

Synchronization Service Manager > 
"Full Password Synchronization" tetikle

Güvenli olsun diye weekend runlanmalı — saatler sürebilir.

Sebep 5: Network / Firewall Bloğu

Azure AD Connect sunucusu *.microsoftonline.com ve *.windows.net endpoint’lerine TCP 443 erişebilmeli. Yeni firewall kuralı / proxy değişikliği sonrası engellenebilir.

Test:

Test-NetConnection login.microsoftonline.com -Port 443
Test-NetConnection adminwebservice.microsoftonline.com -Port 443

Başarısızsa firewall/proxy düzenlenmeli.

Monitoring Kurulumu

Microsoft resmi monitoring araçları:

Entra ID Connect Health

Azure Portal > Entra ID > Entra Connect > Entra Connect Health

Ücretsiz Azure AD Premium P1/P2 kullanıcılarına dahildir. Sync lag alarmları otomatik.

PowerShell ile özel monitoring

# Son başarılı sync zamanı
$lastSync = Get-ADSyncScheduler | Select LastSyncCycleStartTimeInUTC

$delay = (Get-Date).ToUniversalTime() - $lastSync.LastSyncCycleStartTimeInUTC

if ($delay.TotalMinutes -gt 60) {
    # Alert email gönder
    Send-MailMessage -To it@firma.com -Subject "Entra Connect Sync Delay: $($delay.TotalMinutes) minutes"
}

Scheduled task olarak çalıştırılır.

Geçici Çözümler (Sync Takıldığında)

Manual Sync Tetikleme

# Delta sync (hızlı)
Start-ADSyncSyncCycle -PolicyType Delta

# Full sync (her şeyi yeniden çeker — 1+ saat sürer)
Start-ADSyncSyncCycle -PolicyType Initial

Connector Log Temizleme

Sync’in takıldığı connector:

Synchronization Service Manager > 
Connectors > Running = Sıfırla

Servis Restart

Restart-Service ADSync
Restart-Service AzureADConnectHealthSyncInsights
Restart-Service AzureADConnectHealthSyncMonitor

Etki Seviyesi

• Bugün hâlâ risk mi? Hybrid identity kullanıyorsanız kesinlikle. Her ortamda eninde sonunda yaşanır.
• Cloud-only (Azure AD only) ortam: Etkilenmezsiniz.
• Yeni kullanıcı problemleri: Bu sorunun en belirgin etkisi.

İlgili Kaynaklar

• Microsoft Entra Connect documentation
• Entra Connect Health monitoring
• CIS benchmarks for Azure AD Connect

Entra Connect / Azure AD hibrit kimlik yönetimi için proaktif monitoring ve troubleshooting? Kozyatağı Bilişim sertifikalı ekibimizle sizin için monitoring kurulum ve olay müdahalesi. Teknik görüşme talep edin.